从 0 到 1 打造云原生容器沙箱 vArmor.pdf

《从 0 到 1 打造云原生容器沙箱 vArmor.pdf》由会员分享，可在线阅读，更多相关《从 0 到 1 打造云原生容器沙箱 vArmor.pdf（43页珍藏版）》请在三个皮匠报告上搜索。

1、从 0 到 1 打造云原生容器沙箱vArmor演讲人：韦 伟 火山引擎云原生安全负责人动机与目标MOTIVATION&PURPOSE01从 0 到 1FROM SCRATCH02攻防实践CYBER BLUE TEAMING03现状与计划USE CASES&NEXT STEPS04目录/CONTENTS动机与目标MOTIVATION&PURPOSE01从 0 到 1FROM SCRATCH02攻防实践CYBER BLUE TEAMING03现状与计划USE CASES&NEXT STEPS04目录/CONTENTSKubernetes 正在成为云原生操作系统，云原生 Infra 组件（可观测性、

2、安全控制、服务网格、数据库、持续集成.）与 容器化微服务的种类和规模都在快速增长云原生技术趋势01大量组织开始使用云原生技术（44%的组织在大部分生产环境和业务领域中使用云原生技术）04组织使用云原生技术的最大挑战是缺乏培训和安全性（安全地使用云原生技术、针对云原生环境的安全防护、合规挑战、易用的安全工具等）02广泛使用云原生技术的组织会更频繁的发布代码（48%的组织至少每天发布一次代码）03组织采用容器技术的速度超过了云原生技术的成熟度（30%的组织在几乎所有开发和部署环节中采用了云原生技术）动机与目标注：数据来自 OcenBase DevCon 2023云原生技术趋势解读动机与目标增强 L

3、inux 容器隔离性，减少内核攻击面、增加权限提升的难度与成本；为无法使用硬件虚拟化容器的多租户、sidecar 等场景提供 Plan B；容器加固硬件虚拟化容器门槛高&隔离性强Linux 容器开销低&隔离性弱动机与目标增强 Linux 容器隔离性，减少内核攻击面、增加权限提升的难度与成本；为无法使用硬件虚拟化容器的多租户、sidecar 等场景提供 Plan B；容器加固#BrokenSesame降低不安全配置、0day 漏洞带来的安全风险；在漏洞被修复前，增加攻击者在容器中进行漏洞利用、横向移动攻击的难度和成本；事中防御动机与目标增强 Linux 容器隔离性，减少内核攻击面、增加权限提升的

4、难度与成本；为无法使用硬件虚拟化容器的多租户、sidecar 等场景提供 Plan B；容器加固降低不安全配置、0day 漏洞带来的安全风险；在漏洞被修复前，增加攻击者在容器中进行漏洞利用、横向移动攻击的难度和成本；事中防御动机与目标增强 Linux 容器隔离性，减少内核攻击面、增加权限提升的难度与成本；为无法使用硬件虚拟化容器的多租户、sidecar 等场景提供 Plan B；容器加固降低不安全配置、0day 漏洞带来的安全风险；在漏洞被修复前，增加攻击者在容器中进行漏洞利用、横向移动攻击的难度和成本；事中防御消除或降低 Kubernetes 安全功能的使用门槛、成本；通过标准化接口提供一致

5、性体验，打通“工作负载与加固进程”工作负载与加固进程”、“业务业务与安全”与安全”之间的 Gap；云原生化视角差异：业务 vs.安全动机与目标MOTIVATION&PURPOSE01从 0 到 1FROM SCRATCH02攻防实践CYBER BLUE TEAMING03现状与计划USE CASES&NEXT STEPS04目录/CONTENTS声明式 API&一致性开箱即用关键设计决策打通任督二脉（K8S&进程）ENFORCER 的实现方法访问控制器策略语法&内置策略沙箱策略DENY OR ALLOWBY DEFAULT?安全模型从 0 到 1 打造 vArmorvArmor 在设计和实现过

6、程中的核心思想是通过标准化接口为用户提供一致的体验，最大程度消除或缩小云原生场景中“系统安全防护”与“系统研发运维”之间的鸿沟，从而实现一个轻量易用的基于 LSM 的云原生容器沙箱。关键设计决策OutOut-ofof-thethe-boxbox：针对常见加固需求提供一系列内置策略，同时内置策略，同时可根据语法自定义策略。并且支持策略动态调整。并且支持策略动态调整，从而实现开箱即用功能。Operate as a cloudOperate as a cloud-native systemnative system：遵循 Kubernetes Operator 设计模式，通过声明式 CRD API